Comments
Description
Transcript
FirmaD11nov2003
Firma digitale Firma Digitale • Documento informatico e firma elettronica generica • Firma digitale, crittografia e smart card • Raffronto firma autografa / firma digitale • Legislazione italiana e normativa di riferimento • Gli Enti Certificatori • Posta certificata Premessa Legge 15 marzo 1997 n. 59 (c.d. “Bassanini-1) art. 15, comma 2 “Gli atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge” Il T.U. in materia di documentazione amministrativa (D.P.R. 28/12/2000 n. 445) Art. 8 Documento informatico Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente testo unico. Il documento informatico “Rappresentazione informatica (sequenza di bit che, elaborata da un sistema informatico, può essere resa visibile su uno schermo, stampata su carta o inviata a distanza) di atti, fatti o dati giuridicamente rilevanti” a differenza del documento cartaceo • è immateriale (la sua esistenza non è legata a un supporto fisico) • non c’è distinzione tra originale e duplicato (molteplicità di originali a pari valore informativo) Firma elettronica D.Lgs. 23/1/2002, n. 10 Attuazione della Direttiva 1999/93/CE Art. 2 Definizioni Si intende per firma elettronica l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica Firma Digitale • Documento informatico e firma elettronica generica • Firma digitale, crittografia e smart card • Raffronto firma autografa / firma digitale • Legislazione italiana e normativa di riferimento • Gli Enti Certificatori • Posta certificata Firma Digitale Definizione corrente: è l’equivalente informatico di una firma autografa su carta tecnico-giuridica: è una firma elettronica che • si definisce avanzata • si basa su un Certificato di Sottoscrizione Qualificato • viene rilasciata da un Certificatore Accreditato • è generata mediante un dispositivo sicuro (smart card) Crittografia M A M M A A=O B=C C=M … … M=Z … … z o z z o O C M … … Z … … Chiave Crittografica Simmetrica Singola Firma Digitale Proprietà generali E’ una delle possibili applicazioni del sistema crittografico a chiavi asimmetriche: il mittente cifra il documento con la sua chiave privata il destinatario decifra con la chiave pubblica del mittente Vengono garantite: l’autenticità del documento (sicurezza della paternità) • l’integrità del documento (certezza che il contenuto non sia stato alterato) Firma Digitale Caratteristiche e vantaggi IN TE GR IT A’ NO N P RI DE I IO D U DA TI V ER S RI AU ZZ E AT A T D E EN L TI M CA IT Z T E IO NT NE E Crittografia Definizioni • Sistema segreto di scrittura in codice • Scrittura segreta, che può essere letta solo se se ne conosce la chiave • Scienza matematica che serve a cifrare un testo in modo da renderlo comprensibile soltanto al destinatario Crittografia Le due tipologie di base • Simmetrica (a chiave singola) unica chiave per cifrare e decifrare • Asimmetrica (a chiave privata + pubblica) coppia di chiavi correlate e indipendenti Crittografia simmetrica Chiave singola per cifrare/decifrare • La serratura può essere chiusa/aperta con la stessa chiave • La chiave deve essere duplicata/scambiata tra gli interlocutori • Occorre una chiave per ogni coppia di corrispondenti Crittografia asimmetrica Coppia di chiavi correlate • La serratura può essere aperta con una chiave ma chiusa solo con l’altra (e viceversa) • Le due chiavi sono indipendenti Sistema a chiavi asimmetriche Chiavi distinte e complementari Ogni utente ha una coppia di chiavi: chiave privata (segreta e detenuta solo dal titolare) chiave pubblica (nota e accessibile a tutti) • Non è possibile ricavare la chiave privata dalla corrispondente chiave pubblica • Ogni chiave consente di sbloccare il codice dell’altra Sistema a chiavi asimmetriche Sintesi • La chiave privata (del mittente) si usa per firmare un documento e proteggerlo da alterazioni • La chiave pubblica (del destinatario) si usa per cifrare un documento Sistema a chiavi asimmetriche “Unicità” delle chiavi • La probabilità di generare due chiavi uguali (lunghe 1024 bit) è una su 10340 (“una su un miliardo di miliardi, di miliardi, di miliardi, …” ripetuto trentasette volte). • Per chiavi di 1024 bit è stato calcolato che, per risalire ad una chiave privata dalla corrispondente chiave pubblica, una rete di centinaia di migliaia di computer impiegherebbe alcuni secoli. Firma Digitale Dispositivi di firma “Apparati elettronici in grado di conservare in modo protetto le chiavi private e di generare al loro interno la firma digitale.” Crypto-box Floppy disks Hard disk PC cards Firma Digitale La smart card: definizione Carta “intelligente” elettronica a microcircuito: risiede su tessera di plastica di dimensioni standard) è dotata di un chip contenente: un microprocessore CPU una memoria RAM una memoria ROM + una memoria EPROM o una memoria EEPROM interfacce per alimentazione e dialogo con altri sistemi Firma Digitale La smart card: proprietà è portabile (dimensioni ridotte) e resistente può memorizzare dati può ospitare un sistema operativo (capacità di elaborazione e di processo) è inattaccabile (ha un elevato livello, fisico e logico, di protezione) è programmabile all’origine e non clonabile ha un’accessibilità sicura tramite PIN (Personal Identification Number) Firma Digitale • Documento informatico e firma elettronica generica • Firma digitale, crittografia e smart card • Raffronto firma autografa / firma digitale • Legislazione italiana e normativa di riferimento • Gli Enti Certificatori • Posta certificata Firma Digitale Confronto con la firma autografa FIRMA AUTOGRAFA Riconducibile al soggetto direttamente Legata al documento attraverso il supporto fisico Riconducibile al soggetto solo attraverso il possesso di un segreto Legata indissolubilmente al contenuto del documento Verifica diretta e soggettiva (attraverso il campione) Verifica indiretta e oggettiva (tramite una terza parte fidata) Facilmente falsificabile, ma il falso è riconoscibile Non falsificabile senza conoscere il segreto, ma falso irriconoscibile Deve essere autentica per impedire il ripudio Ripudio impossibile FIRMA DIGITALE Firma Digitale • Documento informatico e firma elettronica generica • Firma digitale, crittografia e smart card • Raffronto firma autografa / firma digitale • Legislazione italiana e normativa di riferimento • Gli Enti Certificatori • Posta certificata Normativa Il Regolamento attuativo (Testo Unico) Il Regolamento tecnico D.P.R. 28 dicembre 2000 n. 445 (ex D.P.R. 10 novembre 1997 n. 513) D.P.C.M. 8 febbraio 1999 Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Disposizioni legislative e regolamentari in materia di documentazione amministrativa Obiettivo: riordinare la normativa in materia di firma digitale, documentazione elettronica ed amministrativa, in base ai criteri e princìpi indicati dalla legge 8/3/99 n.50 (sulla predisposizione dei Testi Unici) • riprende e ingloba il DPR 513/97 (Regolamento attuativo) • mantiene in vigore il DPCM 8/2/99 (Regolamento tecnico) Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Art. 1 - n) Definizione di Firma Digitale “Il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici” Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Ambito di applicazione Le norme concernenti i documenti informatici e la firma digitale si applicano agli organi della pubblica amministrazione, nonché ai gestori di pubblici servizi nei rapporti tra loro e con l’utenza, e anche nei rapporti tra privati. Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Art. 10 (modificato dal D.Lgs 23/1/2002, n. 10) Forma ed efficacia del documento informatico 1. Il documento informatico ha l’efficacia probatoria prevista dall’art. 2712 del c.c., riguardo ai fatti ed alle cose rappresentate. 2. Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta. Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Art. 10 (modificato dal D.Lgs 23/1/2002, n. 10) Forma ed efficacia del documento informatico 3. Il documento informatico, sottoscritto con firma digitale… fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto. 4. Al documento informatico, sottoscritto con firma elettronica, in ogni caso non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova... Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Art. 23 Firma digitale • L’apposizione o l’associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo • Per la generazione della firma digitale deve adoperarsi una chiave privata la cui corrispondente chiave pubblica non risulti scaduta di validità ovvero non risulti revocata o sospesa ad opera del soggetto pubblico o privato che l’ha certificata • L’uso della firma apposta o associata mediante una chiave revocata, scaduta o sospesa equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione. Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Art. 24 Firma digitale autenticata • Si ha per riconosciuta, ai sensi dell’art. 2703 del c.c. , la firma digitale, la cui apposizione è autenticata dal notaio o da altro pubblico ufficiale autorizzato. • La presentazione o il deposito di un documento per via telematica o su supporto informatico ad una pubblica amministrazione sono validi a tutti gli effetti di legge se vi sono apposte la firma digitale e la validazione temporale a norma del presente testo unico. Normativa Il T.U. (D.P.R. 28/12/2000 n. 445) Art. 38 (modificato dal D.Lgs 23/1/2002, n. 10) Modalità di invio e sottoscrizione delle istanze Le istanze e le dichiarazioni inviate per via telematica alla Pubblica Amministrazione sono valide: • se sottoscritte mediante la firma digitale, basata su di un certificato qualificato, rilasciato da un certificatore accreditato, e generata mediante un dispositivo per la creazione di una firma sicura; • ovvero quando l’autore è identificato dal sistema informatico con l’uso della carta d’identità elettronica o della carta nazionale dei servizi” . Firma Digitale • Documento informatico e firma elettronica generica • Firma digitale, crittografia e smart card • Raffronto firma autografa / firma digitale • Legislazione italiana e normativa di riferimento • Gli Enti Certificatori • Posta certificata Certificatori La certificazione: perché? • Il sistema di crittografia asimmetrica, da solo, non assicura l’identificazione del soggetto che utilizza la coppia di chiavi. • Generando coppie di chiavi e utilizzandole per scambiare documenti tramite la posta elettronica, attraverso la mutua certificazione, ogni utente potrebbe spacciarsi per un’altra persona, ovvero usare il nome di un individuo inesistente. Certificatori La certificazione: definizione • E’ il risultato della procedura informatica… mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene” • Strumento che assicura l’identificazione del soggetto sottoscrittore, garantendo l’appartenenza della chiave in capo al rispettivo titolare” Certificatori La certificazione: finalità • Risolve il problema dell’identità nel mondo virtuale • Supplisce alla assenza di relazione fisica tra firma digitale e sottoscrittore • Documenta la corrispondenza tra la chiave pubblica ed il suo titolare rigorosamente identificato Certificatori Trusted Third Parties: le “terze parti fidate” Certificatori Elenco pubblico AIPA • 27.01.2000 - SIA S.p.A. Società Interbancaria per l'Automazione (cessata attività dal01/01/2003 - certificatore sostitutivo Actalis) • 24.02.2000 - SSB S.p.A. Società per i Servizi Bancari-Cedborsa (cessata attività dal 01/01/2003 - certificatore sostitutivo Actalis) • 30.03.2000 - BNL Multiservizi S.p.A. (Gruppo BNL) • 06.04.2000 - INFOCAMERE S.C.P.A (Camere di Commercio) • 13.04.2000 - FINITAL S.p.A. (Finanziaria Italiana) • 20.04.2000 - SARITEL S.p.A. (società fusa per incorporazione nella I.T. Telecom S.p.A.) • 20.04.2000 - POSTECOM S.p.A. (Poste Italiane) • 06.07.2000 - SECETI S.p.A. (Gruppo Banche Popolari) • 15.03.2001 - CENTRO TECNICO per la R.U.P.A. • 22.03.2001 - INTESA S.p.A. (Ibm) • 17.05.2001 - ENEL.IT S.p.A. (Enel) • 07.06.2001 - TRUST ITALIA S.p.A. (VeriSign) • 15.11.2001 - CEDACRINORD S.p.A. (Casse di Risparmio e altre banche) • 28.03.2002 - ACTALIS S.p.A. (SIA e SSB) • 12.09.2002 - CONSIGLIO NAZIONALE DEL NOTARIATO • 06.02.2003 - I.T. TELECOM S.P.A. (già Saritel S.p.A.) Certificatori L’Ente di Certificazione: definizione “Soggetto pubblico o privato che effettua la certificazione...” • identifica la persona che richiede il certificato • rende certa l’identità del soggetto fisico che ha generato una firma • rilascia, gestisce, pubblica e revoca i certificati •assicura la corrispondenza tra il titolare e la sua chiave pubblica • impedisce il disconoscimento della propria firma (non ripudio) Ente Certificatore Struttura organizzativa Infrastruttura Centrale Utente Ufficio di Registrazione Ente di Certificazione Infrastruttura Centrale • Genera i certificati per i titolari registrati • Pubblica i certificati • Revoca i certificati non più validi – su propria iniziativa – su richiesta del titolare – su richiesta di terza parte interessata. • Rinnova il certificato scaduto Ente di Certificazione Ufficio di Registrazione • Assiste nella richiesta della certificazione – verifica aspetti formali – garantisce il riconoscimento del soggetto – attiva la procedura di emissione dei certificati • Distribuisce le Smart Card con i certificati • Supporta la C.A. nel rinnovo e nella revoca Riepilogo Cos’è e a cosa serve la Firma digitale ? E’ la possibilità, legalmente riconosciuta e normata dal punto di vista giuridico e tecnologico, di fare proprio, cioè di firmare, un documento digitale Che valore ha la Firma digitale ? • per legge equivale alla firma autografa • rende validi i documenti informatici, la loro archiviazione e trasmissione • rende validi i contratti elettronici, anche stipulati a distanza Chi avvalora la Firma digitale ? Enti Certificatori - “Terze Parti Fidate” accreditate e riconosciute per legge • verificano l’identità dei titolari • gestiscono l’attività tecnologica • rilasciano i dispositivi di firma (smart card) • pubblicano i certificati digitali • sospendono o revocano i certificati “compromessi” Sono uguali tutte le Firme? Firme “leggere” e … “pesanti” la firma digitale è il tipo di firma elettronica che ha maggiore efficacia probatoria (art. 2702 c.c.) • è rilasciata da un CERTIFICATORE ACCREDITATO • mediante un CERTIFICATO QUALIFICATO • su un DISPOSITIVO DI FIRMA SICURO (smart card) Come si ottiene e come si usa? Ci si rivolge ad un Ente Certificatore Accreditato (elenco su www.aipa.it) Occorrono • Personal computer • Lettore di smart card • Software di firma La posta elettronica ... … sta sostituendo, a poco a poco, la posta cartacea tuttavia le comunicazioni ufficiali rimangono su carta, ignorando il T.U. sulla doc. amministrativa Il documento informatico ... … trasmesso per via telematica si intende inviato e pervenuto al destinatario, se trasmesso all’indirizzo elettronico da questi dichiarato (art14. Comma 1 dpr 445 28 dic. 2000) La trasmissione del documento ... … informatico per via telematica con modalità che assicurino l’avvenuta consegna, equivale alla notificazione per mezzo della posta nei casi consentiti dalla legge (art14. Comma 3 dpr 445 28 dic. 2000) Posta certificata: caratteristiche semplicità: - è una casella e-mail - si utilizzano i normali strumenti di posta (Outlook, …) Particolarità principali ricevute di invio e di consegna • “timbro” (ora esatta) garanzie: • integrità del messaggio • tracciabilità eventi (log) Posta certificata Provider di Posta Certificata A Provider di Posta Certificata B Casella di posta Ricevuta di accettazione Ricevuta di consegna Destinatario Mittente Opponibilità a terzi ricevuta: prova (firmata dal gestore) del contenuto e non solo dell’invio ora esatta traccia mantenuta per anni Opponibilità a terzi La data e l’ora di formazione, di trasmissione o di ricezione di un documento informatico, redatto in conformità … , sono opponibili ai terzi (art14. Comma 2 dpr 445 28 dic. 2000) Messaggi non certificati messaggi scambiati tra caselle di posta certificata e non certificata • mancano: ricevute, tracce, … • non conformi al dpr 445 Facile identificazione Consegna non prevede la firma del destinatario: basta la consegna nella casella da lui dichiarata (art 14 comma 1 T.U. documentazione amministrativa) Cosa si certifica? l’avvenuta consegna: con apposita ricevuta (conservare) l’integrità della trasmissione tra i due provider (busta) In cosa consiste? è una casella di posta elettronica • rilasciata da gestore di posta certificata • in un dominio di posta certificata Basta la casella? Sì ma ... :: … se invio documenti importanti li firmo smartcard di firma per • allegati • messaggio Legalmail: ulteriori funzioni sicurezza e affidabilità • antivirus in entrata e in uscita • più livelli di firewall • controlli anti-intrusioni Legalmail: domini di posta certificata dominio standard proposto …@cert.legalmail.it altre possibilità: • domini dell’utente • nuovi livelli in legalmail.it Esempio - dominio utente: infocamere.it - posta certificata: cert.infocamere.it Legalmail Firma / marche temporali Protocollo Informatico Conservazione e condivisione documenti firmati (Repository)